Blogginlägg -

“Vad finns det för SSL-certifikat och vilket ska man välja?” - SSL/HTTPS skolan 2 av 3

Detta är det andra av tre inlägg i vår satsning på att skapa medvetenhet och kunskap kring SSL-certifikat och HTTPS.

I det första inlägget diskuterade vi grundläggande SSL/HTTPS. Vår slutsats var att användandet av SSL-certifikat gått från att vara ett undantag till att bli en regel.

I denna del kommer vi ge dig en grundläggande lektion i vilken typ av SSL-certifikat som finns och varför skillnaderna dem emellan faktiskt är viktiga.

Olika typer av SSL-certifikat

Vanligtvis pratat man om tre nivåer av SSL-certifikat – DV, OV och EV. Men att inte ha ett SSL-certifikat är även ett tillstånd som måste inkluderas i diskussionen för att till fullo förstå värdet av SSL-certifikat. Det är viktigt att ha med sig att dessa tre nivåer av SSL-certifikat inte betyder att det är någon skillnad på krypteringen av den information de är menade att skydda, det betyder bara att valideringsprocessen skiljer sig från varje nivå. Ju högre nivå, ju mer rigorös valideringsprocess har föregått utfärdandet. Samtidigt innebär en högre nivå på certifikat en högre nivå av upplevt förtroende för varumärket från besökaren på sajten.

  1. Att inte ha något certifikat alls
    Att inte ha något certifikat alls på exempelvis en hemsida innebär att informationsflödet mellan besökaren och webbservern på vilken hemsidan ligger är totalt transparent. En liknelse så god som någon är den att inte använda ett SSL-certifikat är som att posta ett brev med ett genomskinligt kuvert, så alla kan se brevets innehåll.
  2. Domain Validation (DV)
    Detta är den lägsta av alla valideringar, vilket samtidigt innebär att det är enklaste att få utfärdad. Valideringsprocessen består av att utfärdaren verifierar att en kontakt på domänen i fråga godkänner beställningen. Vanligtvis sker detta via mail men kan även ske via alternativa metoder. Den enda fördelen med denna typen av certifikat är den snabba valideringen och den relativt låga kostnaden. Nackdelarna är en högre risk för ”phishing” och ”man in the middle” attacker. Vissa utfärdare har gått så långt att de slutat utfärda DV-certifikat på grund av inställningen att nackdelarna med att använda ett DV-certifikat långt överskrider dess fördelar.
  3. Organisation Validation (OV)
    OV-certifikat är nivån över DV-certifikat. Som namnet antyder är valideringsprocessen för ett OIV-certifikat mer rigorös än ett DV-certifikat och inkluderar en verifiering av organisationen bakom beställningen. Detta utförs vanligtvis genom att utföra stegen i en validering för ett DV-certifikat, men med tillägget att utfärdaren kontaktar bolaget med andra kontaktuppgifter än dem från själva domännamnet. Denna information publiceras sedan på certifikatet, vilket gör certifikatet mer transparent och hemsidan det är utfärdat på mer trovärdig.
  4. Extended Validation (EV)
    Om du någonsin sett ett grönt adressfält i din webbläsare har du sett ett EV-certifikat i bruk. Som namnet antyder är valideringsprocessen för ett EV-certifikat den mest rigorösa av de tre. De tar lite längre tid att få utfärdare, men för organisationer som vill uppnå den högsta nivån av förtroende för sitt varumärke är EV-certifikat ett måste. De flesta EV-certifikat kommer även med funktioner som skanning efter skadlig kod och ”brickor” att lägga på sin sajt. Dessa extra funktioner kan vara väldigt värdefulla när man lanserar ett nytt varumärke, sajt eller expanderar till en ny marknad. Detta då de adderar trovärdighet från en redan etablerade och trovärdiga aktörer i den digitala världen.

När det kommer till vilket SSL-certifikat som är mest lämpligt för just dina behov finns det tyvärr inget universellt certifikat. Valet av certifikat beror på en mängd faktorer. På en extern webb exempelvis kan det vara en god idé att använda ett SSL-certifikat av den högsta nivå, ett EV-certifikat (Extended Validation) då det skapar det högsta förtroendet för din sajt – och ditt varumärke. För andra ändamål, där krypteringen är det enda som är viktigt, kan en lägre nivå av validering passa era behov. På Ports Group har vi erfarenheten och expertisen att guida dig i ditt val av certifikat, såväl som den säkra hanteringen av dina certifikat.'

Vill du kolla om ni har SSL?
Vi har nyligen lanserat ett gratis analysverktyg vid namn besafe.online. Verktyget kontrollerar först och främst om en sajt har SSL, men ger även ytterligare information relaterad till en sajts säkerhet. Exempelvis om den har DNSSEC och/eller DMARC implementerat.


Nästa inlägg
I det nästa och sista imlägget om SSL/HTTPS kommer vi att diskutera den kanske minst diskuterade aspekten av SSL-certifikat; hur man säkrar upp hanteringen av dem för att undvika potentiellt affärskritiska konsekvenser.

Ämnen

  • Datasäkerhet

Kategorier

  • digital
  • tech

Kontakter

Emil Björnum

Presskontakt Director Marketing

Relaterat innehåll

"Vad är egentligen HTTPS/SSL?” -SSL/HTTPS-skolan del 1 av 3

Som vi tidigare rapporterat kommer Chrome att i juli 2018 börja markera alla sajter som inte använder HTTPS/SSL som "ej säkra". På Ports Group har vi initierat en kampanj för att öka kunskapen och medvetenheten kring HTTPS och SSL. Vi presenterar därför: Den första delen i en serie av tre lektioner om HTTPS/SSL! Det kommer bli kul, vi lovar.

“Säker hantering av SSL-certifikat minimerar risken för affärskritiska konsekvenser” -SSL/HTTPS skolan 3 av 3

Den sista och avslutande delen av vår trilogi om SSL/HTTPS.

Många små SSL-certifikat eller ett stort?

Behöver man verkligen en massa SSL-certifikat? Varför inte bara ha ett för allt? Faktum är att man ofta kan det. Ports Groups Victor Schönemann berättar mer om hur vi hjälper kunder att ersätta många enskilda SSL-certifikat mot ett SAN-certifikat.